Взрывной рост угроз, новые нужды бизнеса, появление жестких стандартов, требования которых обязательны… С этим постоянно приходится иметь дело сотрудникам служб информационной безопасности любых предприятий. О том, как решаются эти проблемы в ЗАО «Райффайзенбанк», мы беседовали с начальником управления информационной безопасности Светланой Беляловой.

Intelligent Enterprise: Каков статус службы ИБ в вашем банке? Она независима, входит в состав ИТ‑службы или службы безопасности?

Светлана Белялова: Мы входим в дирекцию экономической безопасности. Однако как организационно, так и технически мы полностью самостоятельны. Мы планируем свою деятельность на уровне банка и подчиняемся непосредственно одному из членов правления, который курирует данные вопросы. За экономическую безопасность отвечает другая структура. Такой подход нам кажется правильным, причем он соответствует стандарту Центрального банка Российской Федерации и целому ряду международных стандартов в области информационной безопасности. Это помогает вывести наше знание и понимание всего, что связано с данной сферой, на самый высокий уровень.

Кроме того, 80% всех угроз, как правило, исходит изнутри компании. С потенциальными инсайдерами приходится бороться всем. И тут имеет значение имидж CISO. Когда появляется инструкция «не хранить, не записывать, не выносить», этого современным людям недостаточно. Это воспринимается «в штыки», потому что кажется неудобным, трудновыполнимым, а иногда даже просто лишним. Естественно, помимо реализации комплекса мер в виде распорядительной документации и технических решений, необходимо дать понять людям, зачем это делается. Если можно так выразиться, «продать» это сотрудникам и их руководителям, научить их, донести на доступном каждому уровне.

В этом и состоит главная сложность нашей работы. Мы должны быть и техническими специалистами, и дипломатами, и некими арбитрами. Мы должны сочетать интересы бизнеса, который хочет использовать все новейшие технологии, вне зависимости от того, какие риски они в себе несут, с одной стороны, и требования стандартов и регуляторов (как российских, так и международных), с другой. В нашем случае также добавляются требования головной организации. И совмещение всего этого — самая сложная часть нашей профессии.

Появляются ли сейчас, в связи с кризисом, новые угрозы в области ИБ? Как меняется ситуация в данной сфере?

Происходит постоянная эволюция угроз, причем явное преимущество пока у средств нападения. Это подтверждается многими исследованиями в данной области. Речь идет не о случайных попытках одиночек что‑то украсть или взломать. Мы говорим об активно развивающейся организованной деятельности, которая приносит мошенникам деньги. Это направление вызывает большую обеспокоенность. Это хорошо организованный преступный бизнес, масштабы которого постоянно растут. В результате нам необходимо прилагать все больше стараний, чтобы адаптироваться к изменениям и усиливать меры, которые ранее казались достаточными.

Кроме того, бизнес движется в сторону увеличения числа каналов взаимодействия с клиентами и партнерами. Если раньше мы стремились максимально закрыть системы банка, то сейчас бизнес идет за пределы не просто здания, но и страны, используя для этого все доступные технологии. Например, необходимость в постоянном перемещении приводит к отказу от стационарных рабочих мест. Постоянное развитие, гибкость, мобильность, беспроводные сети — все это существенно усложняет подходы к обеспечению безопасности, но это необходимо, чтобы обслуживать клиентов. Вот что сейчас является для нас существенным вызовом.

Насколько серьезно приходится перестраивать системы при появлении новых требований, например, закона о персональных данных или международного PCI DSS?

Организации финансового сектора нуждаются в конкретных рекомендациях, что им делать в первую очередь. Если поставить задачу соответствовать всем стандартам сразу, то не хватит никаких средств. И с организационной точки зрения это достаточно сложно, поскольку потребуется серьезнейшая перестройка бизнес-процессов.

Что касается закона о персональных данных, то аналогичные нормы защиты персональных данных приняты в различных странах мира, в том числе в Европе. Поэтому ряд требований по защите персональных данных уже был заложен в процессы банка на основе требований нашей материнской компании. Мы считаем, что необходимо следовать законодательству, хотя это не всегда просто. Нет однозначного ответа на вопрос, каким именно способом необходимо обеспечивать выполнение требований закона, но все согласны с тем, что комплекс мер по приведению банка к полному соответствию нормам закона о персональных данных будет чрезвычайно затратным как в смысле расходования финансовых средств, так и в смысле времени. И для банковской сферы это особенно сложно, так как нам необходимо заботиться не только о защите данных, но и о доступности и удобстве наших сервисов, чтобы удовлетворить потребности клиентов банка.

Если говорить о PCI DSS, то мы начали процедуру прохождения аудита на соответствие его требованиям. Требования стандарта очень актуальны, тем более что карточное мошенничество действительно является серьезной проблемой во всем мире, и используемые мошенниками схемы быстро начинают использоваться в разных странах. Риски только увеличиваются, и мы это видим. Так что не имеют под собой оснований разговоры о том, что PCI DSS разработан в расчете только на американскую специфику, а в Европе и России данные требования избыточны. Плюс ко всему, сертификация — отличный повод лишний раз проверить защищенность своих систем.

Ряду требований PCI DSS мы соответствовали изначально. Но по некоторым позициям произошло усиление требований. Это тоже потребует доработки наших систем, где обрабатываются карточные данные. И мы обязательно доведем эту работу до конца, иначе бы мы просто не брались за обслуживание карт в таких объемах.

Проекты, связанные с информационной безопасностью, часто наталкиваются на то, что у руководителя службы информационной безопасности не хватает полномочий на их инициацию и исполнение, особенно при реализации комплекса организационных мер. Как это проблема решается в Райффайзенбанке?

Действительно, сложности, которые возникают у CISO при реализации их идей, — особенно если это дорогостоящие проекты, затрагивающие все подразделения, — обычно связаны с тем, что подразделение информационной безопасности находится внутри ИТ, и все решения воспринимаются бизнес-руководством как некая техническая инновация, необходимость которой с точки зрения бизнеса сомнительна. Тогда у CISO не хватает полномочий, у него недостаточно (или даже просто нет) своего бюджета, права выбора решения и возможности доносить свое мнение до высшего руководства организации. У нас обе эти проблемы решены. В Райффайзенбанке существуют процедуры инициации проектов, и каждое подразделение может выдвигать свои проекты. В том числе и мы. Естественно, наша служба также участвует в реализации бизнес-проектов в части решения вопросов информационной безопасности.

Насколько в ИБ-проектах важны технологическая и организационная составляющие? Как соблюсти их баланс?

Реализация проекта — вещь сложная, которая сильно зависит от организационной культуры. Нельзя сказать, что какая‑то система внедрялась легко. Ни одна из них не является сугубо технической. Все они так или иначе сводятся к одному: сотрудники должны принять некие ограничения и перестроить свой процесс так, чтобы все эти меры работали. А риск велик: эти меры касаются вопросов общения с клиентами и контрагентами, что ведет к дополнительным сложностям. Соответственно если меры существенно препятствуют работе банка, они отторгаются, в том числе и руководством.

Любые ограничения всегда идут тяжело, будь то фильтрация почты, доступа к ресурсам Интернета, да и общения с внешним миром вообще, чем мы занимаемся с использованием различного рода технических и организационных мер. Смысл в том, чтобы сотрудники осязали не только неудобства, но и пользу от этих мер. Особенно если удается показать, что какую‑то серьезную беду удалось предотвратить.

Надо сказать, что здесь тоже есть трудности — любое техническое средство требует доработки под нужды конкретной организации, иногда довольно серьезной. И тут приходится решать целый ряд проблем. Прежде всего — многое зависит от политики вендора. Есть и влияние кризиса. Не все вендоры чувствуют себя уверенно, идут слияния и поглощения, что ведет, скажем так, к опасениям, связанным с работой технической поддержки. А ведь уверенность в том, что будут выпускаться разного рода патчи и обновления для решений в области информационной безопасности, крайне важна. Так что помимо вопросов о том, насколько продукт популярен и продаваем, приходится решать проблему, насколько стабилен его вендор, чтобы потом не зависеть от проблем сопровождения.

Но как же быть с организационной частью, особенно если затрагиваются бизнес-процессы и приходится что‑то запрещать, разрешать, видоизменять? Готовых рецептов того, как обеспечить успех проекта, просто не существует. Это всегда работа «в поле». Все это мы делаем.

В нашем случае решению организационных задач очень помогает наш статус. Мы не являемся технической службой. Мы заняты полным комплексом всего прохождения потоков информации. Мы знаем, как она попадает в банк, как выглядит. При этом затрагиваются и взаимоотношения с клиентами — очень сложный момент по сравнению с внедрением любого технического решения. Хорошо, что руководство банка это понимает.